28/10/2021
Diccionario jurídico: evaluación de impacto

¿Qué es una evaluación de impacto relativa a la protección de datos o EIPD?

1.- Definición de evaluación de impacto relativa a la protección de datos personales o EIPD (Data Protection Impact Assessment o DPIA, en inglés)

Una Evaluación de Impacto relativa a la Protección de Datos (en adelante, EIPD) puede definirse como un proceso de descripción minuciosa y un análisis detallado de un tratamiento de datos personales que ha sido considerado de alto riesgo.

Una Evaluación de Impacto relativa a la Protección de Datos o EIPD es un proceso de descripción minuciosa y un análisis detallado de un tratamiento de datos personales considerado de alto riesgo.

La EIPD no ha sido definida ni en el Reglamento General de Protección de Datos (en adelante, RGPD), ni en la Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales (en adelante, LOPDGDD). Sin embargo, su definición se desprende de los recursos publicados por organismos como el Comité Europeo de Protección de Datos (CEPD) o la Agencia Española de Protección de Datos (AEPD).

Una EIPD implica desmenuzar todos los aspectos que conforman el tratamiento examinado (las operaciones de tratamiento), desde los sujetos que intervienen en el proceso, hasta toda la tecnología implicada. Incluye, también, un juicio de necesidad y proporcionalidad del tratamiento y la proposición de medidas que mitiguen el riesgo lo máximo posible.

La siguiente imagen es una representación del proceso de EIPD y las partes de que se compone:

Fuente: Agencia Española de Protección de Datos (https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/evaluaciones-de-impacto)

El objetivo principal de la EIPD es detectar tratamiento de datos personales que se consideran de alto riesgo, controlarlos y mitigarlos, verificando así que el tratamiento puede llevarse a cabo. Pero, paralelamente, la realización de una EIPD también es una forma de demostrar el cumplimiento de las obligaciones del responsable del tratamiento en materia de protección de datos (principio de responsabilidad proactiva).

2.- Diferencia entre la EIPD y la gestión de riesgos

En la práctica, una EIPD se encuadra dentro del proceso que recibe el nombre de gestión de riesgos para los derechos y libertades de los interesados que, en resumidas cuentas, es un proceso de control similar al de la EIPD aunque con menor detalle y exhaustividad.

Desde el punto de vista del contenido, el mayor número de requisitos que implica la EIPD y su carácter más estricto es la principal diferencia entre esta y un proceso de gestión de riesgos. También lo es el hecho de incluir un juicio de necesidad y de proporcionalidad del tratamiento examinado en el caso de la EIPD.

En la siguiente tabla puede verse de forma gráfica el valor añadido que implica una EIPD respecto a la gestión de riesgos. El cuadro de la derecha recoge los elementos que la EIPD añade sobre los que ya contiene la gestión de riesgos:

 

Fuente: Agencia Española de Protección de Datos (Guía Gestión del riesgo y evaluación de impacto en tratamientos de datos personales).

3.- ¿Cuándo es obligatorio realizar una EIPD?

A pesar de lo expuesto, en el marco de un proceso de gestión de riesgos no siempre va a ser obligatoria una EIPD.

Es el artículo 35 del RGPD el que especifica los casos en que una EIPD es obligatoria:

Caso 1: Cuando sea probable que el tratamiento implique alto riesgo, en particular cuando se utilicen nuevas tecnologías (artículo 35.1 RGPD).

Caso 2: Cuando se de alguna de las siguientes circunstancias (artículo 35.3 RGPD):

a. Se hace una evaluación exhaustiva y sistemática de personas físicas de forma automatizada (un ejemplo de ello es la elaboración de perfiles), para tomar decisiones que tengan efectos jurídicos sobre los interesados o que les afecten de manera significativa.

b. Se lleva a cabo un tratamiento a gran escala de categorías especiales de datos personales o datos relativos a condenas e infracciones penales.

c. Observación sistemática a gran escala de una zona de acceso público.

Caso 3: Cuando la autoridad de control (que, en el caso de España, es la Agencia Española de Protección de Datos) haya publicado una lista sobre tratamientos que requieren EIPD, y el tratamiento coincida con los allí incluidos (artículo 35.4 RGPD).

Cabe tener en cuenta que las autoridades de control podrán también publicar listas de tratamientos excluidos a esta obligatoriedad (artículo 35.5 RGPD).

En el caso de la Agencia Española de Protección de Datos, se han publicado ambas listas:

Lista de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos (artículo 35.4 RGPD)

Lista orientativa de tipos de tratamientos que no requieren una evaluación de impacto relativa a la protección de datos según el artículo 35.5 RGPD

4.- Ejemplos de tratamientos que requieren una EIPD

Son ejemplos de tratamientos que requieren una EIPD los siguientes:

  1. El control de acceso de una persona a un edificio en el que vaya a ejercer un derecho, por parte de medios tecnológicos y sin la intervención de ninguna persona. Se trata del Caso 2 apartado a).
  2. La implantación por parte de un hospital de una nueva base de datos que contiene la historia clínica de todos sus pacientes. Se trata del Caso 2 apartado b).
  3. El uso de tecnología basada en inteligencia artificial por parte de un banco a la hora de decidir si se otorga un crédito a una persona o no. Se trata del Caso 1, así como del Caso 2 apartado a).
  4. El control mediante videovigilancia por parte de una empresa sobre el comportamiento de sus trabajadores durante la jornada laboral. Caso 2, apartados b) y c), así como del Caso 3 por estar incluido este tratamiento en la Lista de tratamientos que requieren EIPD de la AEPD.

5.- ¿Cuándo es recomendable realizar una EIPD?

En ocasiones, aplicando la literalidad del analizado artículo 35 RGPD, puede no existir una obligación legal de llevar a cabo la EIPD, pero, atendiendo a las circunstancias del caso o a su naturaleza, puede ser recomendable.

El Grupo de Trabajo del Artículo 29 (actualmente, el CEPD) publicó en 2017 las Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento “entraña probablemente un alto riesgo” a efectos del Reglamento (UE) 2016/679. En ellas, se dice que “en los casos en los que no esté claro si se requiere una EIPD, el GT29 recomienda realizar una, ya que esta evaluación representa un instrumento práctico para ayudar a los responsables del tratamiento a cumplir la legislación de protección de datos”.

En la misma línea, la AEPD en su Guía Gestión del riesgo y evaluación de impacto en tratamientos de datos personales, publicada en junio de 2021, afirma que “es importante tener en cuenta que, el hecho de que un tratamiento de datos personales no esté incluido en los supuestos obligados, no siempre implica que no sea necesario llevar a cabo la EIPD. El RGPD no limita la capacidad de decisión del responsable a la hora de decidir si esta se lleva a cabo o no. El RGPD viene a establecer un mecanismo de proactividad que permite al responsable decidir sobre la necesidad de llevar a cabo la EIPD en línea con los riesgos inherentes asociados al tratamiento en función de su naturaleza, alcance, contexto y finalidades”.

6.- Contenido mínimo de una EIPD

El apartado 7 del artículo 35 del RGPD es el que determina cuáles son los extremos que, como mínimo, debe recoger una evaluación de impacto:

a) una descripción sistemática de las operaciones de tratamiento y de los fines del tratamiento, incluyendo, en su caso, el interés legítimo en que se basa el tratamiento.

b) el citado juicio de necesidad y proporcionalidad del tratamiento, teniendo en cuenta su finalidad.

c) la valoración de los riesgos que supone el tratamiento para los interesados (este riesgo se calcula ponderando los valores de impacto y probabilidad de que ocurra el tratamiento).

PROBABILIDAD X IMPACTO = RIESGO

d) las medidas que se consideren aplicar para mitigar el anterior riesgo, así como para demostrar el cumplimiento de la normativa de protección de datos.

Finalmente, en el caso de que, aun tras la realización de la EIPD el resultado del riesgo sea «elevado», el responsable del tratamiento deberá realizar una consulta a la autoridad de control (la AEPD, en España) para poder llevar a cabo dicho tratamiento. En caso contrario, no podrá realizarse el tratamiento en cuestión.

7.- Base normativa de la EIPD

La principal regulación que el RGPD contiene en relación con la EIPD y la obligación de llevarla a cabo se encuentra en el reiterado artículo 35 RGPD.

Además, es necesario tener en cuenta los Considerandos 75, 76 84 y 90 del RGPD, que complementa el contenido del artículo 35.

Por su parte, el artículo 28.1 de la LOPDGDD incluye en la enumeración de obligaciones del responsable del tratamiento la de valorar la necesidad de si procede (o no) realizar una EIPD.

Abogados - proteccion de datos y privacidad

Pero si quieres profundizar más, continua leyendo 👇

8.- La AEPD sobre la EIPD

La Guía de gestión del riesgo y evaluación de impacto en tratamientos de datos personales de la AEPD, publicada en junio de 2021, es un recurso indispensable para profundizar y entender el proceso que implica una EIPD. En ella se explica tanto el proceso de gestión de riesgos, como el proceso de EIPD, así como la relación entre ambas herramientas y el contenido que incluye cada una de ellas. La guía proporciona plantillas relativas al contenido de determinadas partes de una EIPD, catálogos de amenazas que pueden derivarse del tratamiento de los datos personales, así como controles y medidas a establecerse con el fin de mitigar dichas amenazas.

Tenemos que resaltar que la Guía de la AEPD antes mencionada actualiza y unifica las guías publicadas hace más tres años por la misma  la AEPD: Guía práctica para las evaluaciones de impacto en la protección de datos sujetas al RGPD y una Guía práctica de análisis de riesgo para el tratamiento de datos personales.

Adicionalmente, es pertinente mencionar que la Autoridad Catalana de Protección de Datos ha publicado una Guía práctica sobre la evaluación de impacto relativa a la protección de datos y una plantilla que te puedes descargar desde aquí.

Por último, la AEPD ha puesto a disposición de todos los ciudadanos unas herramientas que sirven de punto de partida para todas aquellas pequeñas y medianas empresas que precisen llevar a cabo un proceso de gestión de riesgos y/o una EIPD:

Redactado y revisado por el equipo de protección de datos y privacidad de la firma Algoritmo Legal.

¿Buscas abogado especialista en Protección de datos personales?

Te recomendamos la firma de abogados española Algoritmo Legal donde encontrarás al abogado especializado en Protección de datos personales y con experiencia contrastada que necesitas. Formúlales tu consulta directamente desde aquí (los campos con * son obligatorios):


    ¿Cual es tu nombre?(*)
    ¿Cual es tu correo electrónico?(*)
    ¿En qué ciudad te ubicas?(*)
    ¿A qué teléfono podemos llamarte?

     

    Escribe tu mensaje o formula tu consulta:(*)

    Introduzca los caracteres que ves a continuación (para descartar bots):captcha

    He leído y acepto la Política de Privacidad y de Cookies del portal.

    Lenguaje Jurídico

    Lenguaje Jurídico es un portal que promueve la utilización del lenguaje jurídico claro, el derecho sencillo y el legal design con el fin de poner el Derecho al alcance de todos. Creadores del primer diccionario jurídico del ciudadano hispanohablante de a pie.

    Ver todas las entradas de Lenguaje Jurídico →
    Translate »